De acuerdo con la Ley 8/2011, de 28 de abril, que establece las medidas para la protección de las infraestructuras críticas, el operador designado como crítico se integrará como agente del sistema de protección, debiendo cumplir con una serie de responsabilidades entre los que se encuentra la redacción de una serie de planes de seguridad.

Se deberá elaborar un Plan de Protección Específico (PPE) por cada una de las infraestructuras críticas de las que sea propietario o gestor.

En el PPE, el Operador Crítico recopilará las directrices incluidas en su Plan de Seguridad del Operador (PSO), que afectan de manera específica a esa instalación.

Se debe realizar una descripción detallada de los activos que soportan la infraestructura crítica, diferenciando aquellos que son vitales de los que no lo son y detallando las dependencias existentes entre ellos.

La información deberá incluir, entre otros, los medios materiales y recursos necesarios para la prestación del servicio esencial, cuáles son los componentes de la Infraestructura Crítica, la ubicación de los centros de procesamiento de datos (CPD) así como los sistemas informáticos (hardware y software) utilizados.

¿Cuál es la legislación y normativa aplicable a las infraestructuras críticas?

Por lo que respecta a normativa europea, la Directiva 2008/114/CE de 8 de diciembre de 2008, que identifica las infraestructuras críticas europeas y evalúa la necesidad de mejorar su protección.

Planes de Seguridad en Infraestructuras Criticas CPD Global TechnologyEn cuanto a la normativa española, la Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras críticas y el Real Decreto 704/201, de 20 de mayo por el que se aprueba el Reglamento de protección de las Infraestructuras Críticas, para concretar y ampliar los aspectos contemplados en la ley.

En esa normativa se establece la necesidad y obligatoriedad de redactar y presentar en el CNPIC para su aprobación los siguientes documentos:

  • El Plan de Seguridad del Operador (PSO) es el documento por el que se establecen las acciones que debe llevar a cabo el operador designado como crítico para cumplir con el Real Decreto 704/2011.
  • El Plan de Protección Específico (PPE) que, complementando el PSO, establece las medidas concretas a poner en marcha por los operadores críticos para garantizar la seguridad integral (seguridad física y ciberseguridad) de sus infraestructuras.

Ya hemos detallado en otras secciones de la web lo que debe contener un Plan de Seguridad del Operador (PSO) y un Plan de Protección Específico (PPE) y su utilidad (y obligatoriedad) a la hora de marcar las pautas que debe seguir una IICC para garantizar su seguridad.

Respecto a los plazos, a los seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador (PSO) y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede.

Los Planes de Seguridad del Operador deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios, y deberán definir los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las distintas amenazas (tanto físicas como lógicas) identificadas.

Una vez aprobado el PSO por el CNPIC, el plazo para presentar el PPE es de 4 meses desde dicha aprobación. En él se definirán las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral de sus infraestructuras críticas.

Y, ¿qué pasa si la Infraestructura Crítica es un CPD?

Un Centro de Procesamiento de Datos (o CPD) es la instalación que almacena, procesa, trata e intercomunica los datos y aplicaciones que necesita una organización para poder funcionar.

Los centros de datos son una parte fundamental de las empresas. Entre sus múltiples funciones están:

  • Almacenamiento (copias de seguridad) y backup
  • Aplicaciones de ofimática (correo electrónico)
  • Transacciones de comercio electrónico de gran volumen
  • Custodia y almacenamiento seguro de datos personales

Todas las aplicaciones y los datos críticos para el negocio están alojados en los CPD, con lo que es lógico pensar que deben contar con importantes medidas de seguridad y protección, tanto físicas como contra ciberataques.

A la hora de construirlos, se debe de tener en cuenta la localización, ya que debe cumplir una serie de requisitos técnicos y geográficos. El estándar TIA942, que contiene propuestas y recomendaciones para su redacción debería ser el documento base para su diseño.

Los CPD deben tener un soporte que garantice que, ante cualquier eventual contingencia, los sistemas van a seguir funcionando.

Por tanto, dada su importancia y necesidad de protección, los Centros de Proceso de Datos necesitan un PSO y un PPE que dicten las medidas de seguridad a implementar y garanticen que los datos alojados en su interior van a permanecer a salvo de ataques y posibles alteraciones.

Es más, de cara a mejorar la resiliencia a la hora de afrontar un (ciber)ataque, la elaboración de un Plan de Contingencia y Continuidad de Negocio es una herramienta clave que nos permitirá estar preparados y contar con las medidas necesarias implementadas para resistir y salir reforzados de esa situación.